Вирус распространитель рекламы

[denflex]

Добрый день. Прошу помочь с удалением вируса. Устанавливает ярлыки игр на рабочем столе, удаляет Адблок из гуглхром. Автологер файл CollectionLog не создал.

virusinfo_autoquarantine.zip

virusinfo_syscure.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[denflex]

Другая версия сработала

CollectionLog-2016.05.23-22.17.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\Денис\appdata\local\microsoft\extensions\extsetup.exe');
 QuarantineFileF('c:\users\денис\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\Common Files\{94935C6E-1BDD-46B6-B312-9F3D0932AAF3}', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Денис\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Денис\Desktop\chrome - Ярлык.lnk', '');
 QuarantineFile('c:\users\Денис\appdata\local\microsoft\extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\17D3~1\AppData\Local\Temp\nsv5093.tmp\System.dll', '');
 QuarantineFile('C:\Users\17D3~1\AppData\Local\Temp\nsv5093.tmp\nsJSON.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
 DeleteFile('c:\users\Денис\appdata\local\microsoft\extensions\extsetup.exe', '32');
 DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\nsv5093.tmp\System.dll', '32');
 DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\nsv5093.tmp\nsJSON.dll', '32');
 DeleteFileMask('c:\users\денис\appdata\local\microsoft\extensions', '*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 23 мая, 2016 пользователем Sandor

[denflex]

KLAN-4321712960

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Системе приёма писем не удалось распаковать этот архив в автоматическом режиме. 

С уважением, Лаборатория Касперского

ClearLNK-23.05.2016_22-47.log

[Sandor]

Еще повторный лог, пожалуйста.

[denflex]

Вот

CollectionLog-2016.05.23-23.00.zip

[Sandor]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[denflex]

Сделано 

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[denflex]

Есть

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerC1.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SuperMegaBest version 3.4.5

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn7.0.2__PARAM__
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Google Search) - C:\Users\Денис\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-27]
OPR Extension: (Новости) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-05-22]
OPR Extension: (WebGround) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-05-23]
OPR Extension: (Новости) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-05-22]
OPR Extension: (Smart Browser™) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\gamgcdlfhmmigjmbffodgkpglbnejkjm [2016-05-22]
OPR Extension: (News Tab) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-05-22]
OPR Extension: (Smart Browser™) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\mefhakmgclhhfbdadeojlkbllmecialg [2016-05-20]
OPR Extension: (Smart Browser™) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\ocggccaacacpienfcgmgcihoombokbbj [2016-05-22]
Task: {88577D98-572A-4226-BA26-067718540A7A} - \Microsoft\Windows\A1AE7D556-6E08-4949-B081-6B4E7372A26E -> No File <==== ATTENTION
Task: {D7584FB4-FE34-422A-B49C-F9F932B75420} - System32\Tasks\avastBCLRestartS-1-5-21-520114896-1513040684-359159401-1001 => Chrome.exe 
Task: {D8B7CF12-227C-4E90-B0AC-82D84DC09602} - System32\Tasks\Microsoft\extsetup => C:\Users\Денис\AppData\Local\Microsoft\Extensions\extsetup.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[denflex]

Готово 

Fixlog.txt

[Sandor]

Что с проблемой?

[denflex]

Вроди бы решили

Земной поклон, Добрые люди